Kaspersky ha descubierto un nuevo esquema fraudulento, dirigido a propietarios y personal de hoteles, que tiene como objetivo el robo de credenciales y la infección de computadoras con malware. Para ello, los ciberdelincuentes se hacen pasar por antiguos o potenciales huéspedes, aprovechándose de los esfuerzos del servicio al cliente de la industria.
Los atacantes se presentan como representantes de Booking.com y envían mensajes al hotel, a través de correo electrónico, planteando dudas o quejas no respondidas. Estos correos, que parecen rutinarios para el personal, en realidad buscan engañar a los empleados para que proporcionen sus credenciales de acceso o descarguen malware.
Ante la importancia del servicio al cliente en el sector hotelero, el personal suele responder rápidamente a estos correos electrónicos. Esta premura incrementa la probabilidad de que los colaboradores sean víctimas al hacer clic en enlaces maliciosos o abrir archivos adjuntos dañinos.
Los cibercriminales utilizan servicios de correo electrónico gratuitos, como Gmail, para sus tácticas, ya que también es utilizado frecuentemente por los usuarios. Esto dificulta que el personal del hotel distinga entre mensajes legítimos y aquellos que representen una amenaza.
El objetivo de estos correos electrónicos es incitar al personal a hacer clic en enlaces o descargar archivos que contienen malware. En algunos casos, los atacantes no incluyen el enlace malicioso en las primeras comunicaciones; esto busca ganar la confianza de la víctima iniciando una conversación con uno o más mensajes breves, aparentemente inofensivos, en los que formulan preguntas sobre las condiciones de alojamiento en el hotel.
La estafa utiliza dos temáticas diferentes: la primera aborda quejas de antiguos huéspedes quienes describen experiencias negativas tal como mal trato del personal o habitaciones con inconvenientes de limpieza. Para respaldar sus quejas, los atacantes adjuntan material audiovisual. El objetivo es incitar al personal a que accedan a los enlaces o abrir archivos adjuntos que contienen malware.
En la segunda temática, los ciberdelincuentes se hacen pasar por un posible huésped y envían correos electrónicos con preguntas sobre las condiciones de alojamiento: beneficios, costos o fechas disponibles. También solicitan asesoría del personal del hotel para mejorar la experiencia de su viaje.
Al ganar la confianza de la víctima, los ciberdelincuentes comparten enlaces de phishing que llevan a páginas que imitan el formulario de inicio de sesión de Booking.com. Otras veces, la página de phishing parece un formulario para ingresar credenciales corporativas y si los atacantes logran usarlas para acceder a cuentas de correo electrónico corporativas, se les abren muchas puertas, como secuestrar la cuenta de Booking.com asociada o contactar a los clientes haciéndose pasar por el hotel.
«Los atacantes usualmente explotan los aspectos más vulnerables de un negocio para lograr sus objetivos. En la industria hotelera, se aprovechan del servicio al cliente que se esfuerza por sobresalir y proporcionar una mejor experiencia. Al imitar consultas o quejas de huéspedes, manipulan el compromiso del personal para resolver problemas rápidamente, aumentando así la probabilidad de caer en esquemas fraudulentos. Para protegerse contra estos ataques, las empresas deben implementar sistemas robustos de filtrado de correo electrónico, proporcionar una frecuente capacitación a los empleados sobre el reconocimiento de mensajes maliciosos y establecer protocolos para verificar la autenticidad de las solicitudes urgentes antes de responder», comenta Anna Lazaricheva, analista de spam en Kaspersky.
De acuerdo con el informe anual de spam y phishing de Kaspersky, el phishing por correo electrónico y el malware continúan representando una amenaza cibernética significativa. El año pasado, la solución de ciberseguridad para correo de Kaspersky bloqueó 135,980,457 archivos adjuntos de correo electrónico maliciosos, mientras que el sistema Anti-Phishing previno 709,590,011 intentos de acceder a enlaces falsos. Los correos electrónicos de phishing y maliciosos con frecuencia se hacen pasar por entidades confiables y utilizan tácticas sofisticadas de ingeniería social para engañar a los destinatarios y hacer que divulguen información sensible o interactúen con enlaces maliciosos.
Para mantener los datos protegidos contra este tipo de ataques, los expertos de Kaspersky recomiendan:
- Proporcionar al personal una formación básica en higiene de ciberseguridad. Por ejemplo, simular un ataque de phishing podría enseñar a los empleados cómo distinguir los correos electrónicos con enlaces phishing.
- Implementar soluciones de protección para servidores de correo con capacidades anti-phishing, lo que disminuirá la posibilidad de infección a través de un correo electrónico con esta amenaza. Kaspersky Security for Mail Server previene que los empleados y el negocio sean defraudados por estafas de ingeniería social.
- Utilizar una herramienta de protección para endpoints y servidores de correo con capacidades anti-phishing como las que se incluyen en la línea de productos de Kaspersky Next , lo cual disminuirá la posibilidad de infección.
- Proteger los servicios en la nube como Microsoft 365. Kaspersky Security for Microsoft Office 365 tiene capacidades dedicadas de anti-spam y anti-phishing, así como protección para las aplicaciones de SharePoint, Teams y OneDrive para comunicaciones empresariales seguras.
- Utilizar herramientas ligeras y fáciles de gestionar, pero aún efectivas como Kaspersky Small Office Security ayuda a prevenir el bloqueo del equipo debido a correos electrónicos de phishing o archivos adjuntos maliciosos.
- Encontrar una solución dedicada para pequeñas y medianas empresas con gestión simple y características de protección comprobadas como Kaspersky Endpoint Security Cloud que ofrece protección contra amenazas en archivos, correo, red y en la web; además, incluye tecnologías que protegen a los usuarios contra malware, phishing y otros tipos de amenazas.
Conoce más sobre esta campaña de ataques por correo electrónico en el blog de Kaspersky.